Ransomware Recovery Warranty: Rubriks Garantie erklärt

Wichtige Terminologie

Wie in vielen Verträgen üblich wird zunächst die spezifische Wortwahl erläutert, die sich in der Vereinbarung wiederfindet. Damit sollen Interpretationsmissverständnisse verhindert und der Vertrag verständlicher gemacht werden. Es gibt einige Termini, die eindeutig und kaum falsch zu deuten sind, wie Kunde, Kundenvertrag oder Zahlung. Andere Begriffe bedürfen einer näheren Erklärung.

Entdeckungszeitpunkt (Discovery Time). Dies beschreibt den genauen Zeitpunkt, wann der Ransomware-Vorfall zum ersten Mal erkannt wurde.

Berechtigte Lösung (Eligible Solution). Hierunter fallen die genauen Produktnamen und Abonnementdetails, die es Kunden ermöglichen, diese Garantievereinbarung zu nutzen. Als „berechtigt“ gilt eine Abo der Rubrik Enterprise Edition mit mindestens 250 Terabyte sowie einem gleichzeitig abgeschlossenen Abo für den Service „Customer Experience Manager“ (CEM). Auch Daten, die unveränderlich im Rubrik Cloud Vault gesichert werden, profitieren von der Garantie, vorausgesetzt, die beiden ersten Produkte wurden erworben.

Ereignisdatum (Event Date). Dies gibt an, wann der Ransomware-Vorfall das erste Mal auftrat, was nicht das Datum der Entdeckung sein muss.

Health Check. Ein Health Check (zu deutsch: Gesundheitskontrolle) bedeutet regelmäßige Audits, die von Rubrik-Mitarbeitern durchgeführt werden. Diese geben zudem Empfehlungen zur Optimierung der Plattformkonfiguration und Systemzustände, die der Kunde entsprechend umsetzen muss. Damit soll gewährleistet werden, dass die Lösung immer auf dem neusten Stand ist und bestmögliche Leistungen erreichen kann.

Bereits bestehender Vorfall (Pre-existing Incident). Hierbei handelt es sich um den Verdacht auf oder das aktuelle Vorhandensein von Ransomware in der Kundenumgebung, bevor die Garantie abgeschlossen wurde. Hat der Anwender seine Health Checks nicht ordnungsgemäß und regelmäßig durchgeführt oder die Empfehlungen des Anbieters nicht umgesetzt, so gilt eine entdeckte Ransomware-Version ebenso als bereits bestehend. In diesen Fällen verfällt der Garantieschutz.

Ransomware-Vorfall (Ransomware Incident). Darunter versteht man eine Malware, die ein System infiziert, dort bestehen bleibt und immer mehr Daten verschlüsselt, um dann eine Lösegeldforderung abzusetzen. Ausgenommen ist Schadsoftware, die durch den Kunden oder Dritte ins System geraten, beispielsweise bei einem Malware-Test.

Wiederherstellungsvorfall (Recovery Incident). Dieser Begriff steht hier für das Fehlschlagen beziehungsweise Scheitern einer Datenwiederherstellung nach einem Ransomware-Angriff.

Kosten eines Wiederherstellungsvorfalls (Recovery Incident Expenses). Damit sind alle Gebühren und Ausgaben gemeint, die für ein gescheitertes Recovery anfallen und auch nur dann, wenn sie als direkte Folge der erfolglosen Wiederherstellung entstehen. Der Hersteller spezifiziert hier noch genauer: Gezahlt wird für Services oder Entgelte für Drittunternehmen, die vorher von Rubrik schriftlich genehmigt wurden. Erstattet werden die Kosten, die innerhalb eines Jahres nach dem Ransomware-Vorfall entstanden sind und auch nur dann, wenn eine Zahlung nicht gegen bestehendes Recht verstößt. Zahlungsansprüche gelten zudem nur, wenn für die Wiederherstellung auch nur die Rubrik-Lösung verwendet wurde.

Rubrik Edge. Hierbei handelt es sich um eine Software-Appliance des Anbieters, die Data Protection und Datenmanagement in externe Umgebungen – virtuelle oder physische – erweitert.

SLA Policy. Die Richtlinien für die Service Level Agreements müssen in der Lösung zum Tragen kommen, beispielsweise durch Point-in-Time-Snapshots, Backups von Datenquellen oder durch Aufbewahrungsrichtlinien und Replikationsanforderungen.

Die Garantie

Die Grantie greift natürlich nur, wenn das Ereignisdatum des Ransomware-Vorfalls in die Garantiezeit fällt. „Wenn die Wiederherstellung der Daten des Kunden aufgrund eines von Rubrik festgestellten Fehlers der in Frage kommenden Lösung nicht erfolgreich ist, besteht der einzige und ausschließliche Rechtsbehelf des Kunden und die gesamte Haftung von Rubrik, vorbehaltlich der hierin enthaltenen Bestimmungen, in der Erstattung der dem Kunden durch den Wiederherstellungsvorfall direkt entstandenen Kosten ("Zahlung") bis zu einem Höchstbetrag, der die in der nachstehenden Tabelle angegebene Obergrenze nicht überschreitet.“

Diese Garantie erstreckt sich nicht auf die erfolglose Wiederherstellung von Kundendaten aufgrund von verlorenen Zugangsdaten des Kunden (einschließlich Verschlüsselungsschlüssel), die Rubrik nicht wiederherstellen kann und dazu auch nicht verpflichtet ist, und Ausfall eines Cloud-Dienstleisters. Wie bereits erwähnt erstreckt sich diese Garantie nicht auf bestehende Ransomware-Vorfälle.

Der Hersteller listet folgende Bedingungen für eine Zahlung:

1. Der Kunde hat ein aktives Abonnement für die berechtigte Lösung (Rubrik Enterprise Edition, Rubrik Cloud Vault [falls zutreffend], und das CEM).
2. Der Kunde hat die neueste Version der Software der berechtigten Lösung mit dem neuesten verfügbaren Sicherheits-Patch vor dem entsprechenden Ransomware-Vorfall eingesetzt.
3. Der Kunde hat alle Health Checks abgeschlossen und alle Empfehlungen rechtzeitig umgesetzt.
4. Das Ereignisdatum und die Entdeckungszeit des Ransomware-Vorfalls ist eingetreten, wurde vom Kunden gefunden und Rubrik während der Garantiezeit gemeldet.
5. Der Kunde hat seine Kundenvereinbarung eingehalten, einschließlich und ohne Einschränkung alle Zahlungsverpflichtungen.
6. Der Kunde hat vollständig mit Rubrik kooperiert, insbesondere durch die Umsetzung aller von Rubrik geforderten Abhilfe- und Sicherheitsmaßnahmen, einschließlich der Anforderungen, die Bereitstellung aller Unterlagen, Berechtigungen und des Zugangs zu den relevanten Systemen und Umgebungen, die erforderlich sind, um zu überprüfen, ob der Kunde Anspruch auf eine Garantiezahlung hat, und die Einhaltung des Rückerstattungsantragsverfahrens.
7. Alle Systeme, auf denen der Kunde die von Rubrik erfolgreich gesicherten Kundendaten wiederherstellen will, sind frei von Malware, Bugs, Back-Doors oder anderem bösartigen Code und sind anderweitig gesichert.
8. Diese Garantie ist nicht durch geltendes Recht eingeschränkt oder verboten.

Kundenanforderungen

Wie bei anderen Garantievereinbarungen auch, muss der Kunde weitere Anforderungen des Herstellers erfüllen, damit er Anspruch auf Zahlungen im Falle eines gescheiterten Recoverys hat. Dazu gehören bewährte Praktiken, die umgesetzt werden müssen. Für die Datensicherheit müssen folgende Kriterien erfüllt sein:

• Erfolgreiche Backups, die den SLAs entsprechen
• Retention Lock wurde für die Daten in der SLA-Policy aktiviert
• Mulitfaktor-Authentifizierung für alle Benutzerkonten
• SSH-basierte du Passphrasen-geschützte Schlüssel für CLI-Authentifizierung
• Nutzerrollen mit den geringsten Privilegien/Rechten (least privileges)
• Daten werden sowohl im Transfer (in-flight) als auch im Ruhezustand (at rest) verschlüsselt
• Sicherheitsprotokolle für Systeme von Drittanbietern sind implementiert
• Erstellen einer IP-Whitelist, die Verbindungen nur auf kundeneigene Netzwerke beschränkt
• SSL-Zertifikatssicherheit für Benutzeroberfläche (UI) und APIs
• Sichere Service-Konten
• Umfangreiche API-Rollen mit geringsten Privilegien

Darüber hinaus gibt es zusätzliche Anforderungen in Bezug auf die Health Checks, beispielsweise dass diese monatlich oder bei einem Ransomware-Vorfall stattfinden.

Zu den weiteren Vorgaben gehören die folgenden:

• Aktualisierungen und Upgrades für die Software der berechtigten Lösung sind so schnell wie möglich zu implementieren, in Übereinstimmung mit den bewährten Praktiken der Branche und in Absprache mit dem CEM; in keinem Fall jedoch später als sechs Monate nach dem Datum der letzten aktuellen Version.
• Die Kundendaten sind mit den von Rubrik empfohlenen SLA-Richtlinien zu schützen.
• Einbeziehung der Kundendaten in die definierte Snapshot-Aufbewahrungsfrist in der anwendbaren SLA-Richtlinie;
• Die Unveränderlichkeit muss für alle Kundendaten, die durch Rubrik Cloud Vault geschützt sind, aktiviert sein.
• Die Kundenumgebung(en) mit Rubrik Edge Deployments müssen erfolgreich auf mit der Software der berechtigten Lösung auf Rubrik-Hardware repliziert werden oder auf Rubrik-zertifizierter Drittanbieter-Hardware oder in eine von Rubrik gehosteten Cloud-Plattform.
• Implementierung von Ransomware Investigation und Sensitive Data Discovery für Ransomware-Erkennung und Datenklassifizierung
• Senden von Produktmetriken an Rubrik und Öffnen von empfohlenen Ports/Dienste für die Datenübertragung.
• Implementierung von Best Practices für die Änderungsverwaltung (Change Management) und Unterrichtung von CEM über alle geplanten Änderungen.
• Andere Sicherheitsmaßnahmen und Best Practices sind zu implementieren, die von Rubrik im Laufe der Garantiezeit von Zeit zu Zeit verlangt werden können.

Wenn der Kunde einen Ransomware-Vorfall während der geltenden Gewährleistungsfrist entdeckt, muss der Kunde den Hersteller innerhalb von zwölf Stunden nach dem Entdeckungszeitpunkt eines solchen Ransomware-Vorfalls benachrichtigen, indem er das Rubrik-Supportteam unter der entsprechenden Hotline-Nummer auf der Webseite www.rubrik.com/support/ anruft.

Antragsprozess für Entschädigungszahlungen

Ein Antrag auf Rückerstattung können Kunden dann stellen, wenn nach Rubrik-Vorgaben alle empfohlenen Maßnahmen unternommen wurden und der Wiederherstellungsversuch fehlschlägt. Der Antrag muss innerhalb eines Jahres nach dem bestätigten Wiederherstellungsvorfall gestellt werden. Dazu müssen dem Anbieter alle relevanten und verfügbaren Informationen zugänglich gemacht werden, ebenso alle Belege über die entstandenen Kosten. Der Hersteller prüft diese Unterlagen und wird dann die Zahlung einleiten.

In bestimmten Fällen muss der Kunde geleistete Zahlungen zurückgeben, wenn sich herausstellt, dass es sich nicht um einen Ransomware-Fall oder um bereits vorher existierende Ransomware handelte. Darüber hinaus muss der Kunde „…den Nachweis und die Zusicherung erbringen, dass er keine Zahlung an eine Person oder Einrichtung verwendet, die Wirtschaftssanktionen unterliegt, die vom Office of Foreign Assets Control (OFAC) des US-Finanzministeriums verwaltet oder durchgesetzt werden, einschließlich solcher Personen oder Einrichtungen, die auf der Liste der Specially Designated Nationals and Blocked Persons (SDN) des OFAC aufgeführt sind oder anderweitig nach dem einschlägigen Recht verboten sind.“ Hier sollten sich Anwender allerdings Hilfe oder Beratung einholen, denn die Liste umfasst 1.794 Seiten.

Haftbeschränkungen und Beendigung der Vereinbarung

Selbstverständlich gibt es auch Haftungsbeschränkungen wie bei anderen Garantievereinbarungen. Das liest sich bei Rubrik wie folgt: 

„Unter keinen Umständen haften Rubrik oder dessen Lieferanten für entgangene Gewinne, entgangene Geschäftsmöglichkeiten, Geschäftsunterbrechungen oder besondere, zufällige, Folge- oder Strafschäden, selbst wenn diese Partei auf die Option solcher Schäden oder Verluste hingewiesen wurde oder solche Schäden oder Verluste vernünftigerweise vorhersehbar waren; und unter keinen Umständen übersteigt die Haftung […] die […] für den Garantiezeitraum festgelegte Deckelung. Mehrfache Ansprüche oder Rückforderungsvorfälle erweitern die im vorstehenden Satz genannte Begrenzung nicht. Alle Zahlungen, Schäden oder Verluste, die im Rahmen dieser Garantievereinbarung gezahlt werden, werden auf die in der Kundenvereinbarung festgelegte Haftungsobergrenze angerechnet. Wird die Haftungsbeschränkung […] nach geltendem Recht für ungültig erklärt, gilt diese Garantievereinbarung als nichtig.“

Der Wortlaut ist wenig überraschend, der Hersteller sichert sich hier gegen überzogene Ansprüche und Forderungen ab, die irrtümlicherweise von Kunden kommen könnten. Die Klauseln für die Laufzeit und Beendigung der Vereinbarung entsprechen ebenso einem Standardvertrag. Die Gewährleistungsfrist beginnt an dem Tag, an dem das CEM den ersten Health Check des Kunden durchführt und bestätigt, dass die eingesetzte Lösung so konfiguriert ist, dass sie die Anforderungen erfüllt.

Die Dauer der Garantie gilt für den Zeitraum des jeweils erworbenen Abonnements oder bis die Kundenvereinbarung gekündigt wird, da in dem Moment auch die Garantievereinbarung nichtig wird. Kündigt der Anwender allerdings die Gewährleistung, bleibt die Kundenvereinbarung bestehen. Eine Abtretung an Dritte ist auch nur mit der schriftlichen Zustimmung von Rubrik erlaubt. Ausgenommen davon sind verbundene Firmen in Verbindung mit einer Unternehmensumstrukturierung oder in Verbindung mit einer Fusion, einem Erwerb oder einem Verkauf aller oder im Wesentlichen aller seiner Geschäfte und Vermögenswerte. Allerdings muss der Hersteller spätestens 30 Tage nach der Abtretung oder den veränderten Geschäftsstrukturen informiert werden.

Bedingungen beachten

Die Garantievereinbarung von Rubrik für die Erstattung anfallender Kosten nach einem fehlgeschlagenen Recovery aufgrund eines Ransomware-Vorfalls ist wahrlich kein Hexenwerk. Im Großen und Ganzen klingt die Vereinbarung nach einem Standardwerk. Besonderes Augenmerk sollten Kunden oder potenzielle Garantienehmer allerdings den technischen Voraussetzungen, Anforderungen und Bedingungen widmen, die sie erfüllen müssen, damit es im Falle eines Falles wirklich zu einer Auszahlung kommt.

Es ist nichts Neues, dass solche Leistungen an bestimmte Konditionen seitens des Kunden gebunden sind. Der Hersteller selbst gibt auch technicshe Ratschläge, was verbessert werden kann, beispielsweise in seiner Security Hardening Best Practises. Interessierte Anwender sollten. Sich aber trotzdem vorher informieren, was das konkret bedeutet und wie sich dies umsetzen lässt.

Dazu gehören Überlegungen, wie die monatlichen Health Chhecks durchgeführt werden, wer für die Überwachung von Störfällen und dann für die Benachrichtigung Rubriks zuständig ist oder welche Nachweise aufbewahrt werden müssen. Es kann helfen, sich mit anderen Anwendern auszutauschen, die bereits diese Garantevereinbarung nutzen oder auch mit Kunden, die nach einem Ransomware-Angriff dank Rubrik eine erfolgreiche Wiederherstellung umsetzen konnten.

Darüber hinaus sollten IT-Verantwortliche bedenken, dass diese Garantie natürlich. Nur für Rubrik-Lösungen gilt. Unternehmen, die eine homogene Backup-Umgebung haben, die verschiedene Systeme und Software umfasst, sind in dem Fall wahrscheinlich mit einer Cyberversicherung besser beraten. Aber auch hier gilt: Aufs Kleingedruckte achten.